《基于企业的计算机信息安全管理研究》

1、 前言1.1 研究背景及意义企业互联网信息系统是企业信息化建设的基础之一，目前在企业经营管理中起着重要的作用。网络技术的进步，企业间的信息传播和交流更加方便，但也带来了无法回避的问题。企业的互联网信息系统因为要依靠公共通信网，所以企业信息传输过程中容易被窃听，将导致企业难以预测的损失，所以信息安全管理问题非常需要。本文将对企业信息安全管理现状进行深度分析，针对面临的问题提出解决对策，帮助建设正确的信息安全管理制度及评价指标，对企业信息安全管理具有重要理论指导的意义。1.2 研究内容本文主要研究在互联网普及的背景下，企业的信息安全管理问题，其中以M公司为例，对其目前存在的信息安全风险进行分析。本

2、文的第一个部分为前言，对本文的研究背景及意义，以及国内外的研究现状进行阐述。第二个部分为相关理论综述，对我国目前企业信息管理存在的问题、风险以及原因进行分析。第三个部分以M公司为例，对其信息安全管理存在的问题进行分析。第四个部分根据前一个部分的分析研究，提出具有针对性的建议。1.3 国内外研究现状1.3.1 国内研究现状我国制定信息安全标准化的工作时间短，根据中国信息安全标准的发展过程，大体上可以分为以下三个阶段。1989年通过中国计算机学会批准，我国成立中国计算机学会计算机安全专门委员会，之后我国信息安全业务在国家层面正式启动。中国计算机学会计算机安全专门委员会在国家公安部第11届时期，但是

3、我国对计算机信息安全的法律法规和安全基准没有具体颁布。信息安全主要是简单预防计算机病毒和计算机犯罪预防。从20世纪80年代末到90年代末，计算机技术的不断发展和世界先进国家对计算机信息安全技术的持续研究开发，我们政府也在信息化技术和国家信息安全安全的发展中不断发展，世界先进国家信息技术的持续研究开发使得我国信息安全管理工作变得紧迫。中华人民共和国公安部1994年颁布的中华人民共和国计算机信息系统安全保护条例是我国第一个计算机安全方面的法律法规。这期间不仅是我国政府，许多企业、工作单位也对我国部门信息安全工作表示支持。为了扩大企业信息安全管理相关工作，政府采取了投入资金、设立专业信息安全管理部门

4、等措施了。同时，部分大学和科学研究机构也设立了专门的计算机信息安全大学课程和科学研究课程，并培养专门的信息安全管理和研究人才。进入21世纪后，相关信息安全法律、法规的建设逐渐完善。全国信息化标准制定委员会和所属机关以国家质量技术监督国的指导为前提完成了我国的信息安全标准方面的大量业务，确立了信息系统的安全技术标准，安全管理方面参考ISO及CC标准制定了相关标准。信息系统安全性评价规范及测验规范、信息安全服务、信息安全工程管理等标准也进入日程，我国信息安全标准制度也逐渐形成。但国内的信息安全标准制度的框架建设、信息安全管理领域的研究仍在国际水平上略显不足。1.3.2 国外研究现状各国政府机关积极

5、参与信息安全研究，实施了一系列标准指导信息安全管理工作。1993年6月、美国、英国、法国、德国等5国的国家信息安全局在自己的信息安全基础上进行了工作交流。1993年6月、美国国家安全局、美国国家技术标准研究所规范和标准提出了综合、信息技术安全评价通用准则，更加全面形成了框架，确定了国际标准。在这个时期，英国的信息安全研究重点在管理上。1995年英国信息安全研究将重点放在整体管理中。1995年，英国标准BS799年信息安全管理制度国际主流的信息安全管理制度标准IS 017999是国际标准化机构（ISO）在2000年12月参照了ISO7999。1996年美国国防部首次提出了信息安全保障理念，并接受

6、了全世界信息安全领域。1998年5月美国国家安全局制定的国家安全局制定的。信息保障技术框架指出人、技术和操作是信息安全的三个核心要素。开始意识到管理的重要性，把信息系统从技术安全上扩展到管理技术，通过信息系统对信息安全进行全面保障。进入21世纪，特别是从2008年开始美国引导的世界各国把信息安全问题提升为国家安全战略。在国外信息安全发展过程中，各个国家都把国家信息安全作为国家安全的重要组成部分，不单纯地研究信息安全技术，更重视信息安全的作用，在信息安全理论研究中积极推进了信息安全管理标准。2 企业信息安全管理现状2.1 企业的信息安全问题由于安全管理观念不足，所以面临多种信息管理风险，许多可以

7、利用的系统漏洞普遍存在于企业的信息系统中。根据分析，这些漏洞可能会有企业的组织构成、运行的系统、安全战略、管理制度、信息资产本身的问题。分析其原因是为了寻找必须保护的信息资产而存在的弱点，降低安全风险发生可能性。要避免风险的发生，需要根据安全管理的薄弱点和上述安全问题进行分析。通常企业的信息安全风险有以下几种。2.1.1 硬件设备问题主要在电子设备、媒体等硬件方面可能有某些问题和弱点，这种漏洞经常会引起物理安全方面的风险。2.1.2 信息系统问题主要是在软件规范、软件开发和软件配置过程中发生失误，这种失误面临特殊情况时，软件漏洞的安全就出现了问题。2.1.3 信息系统运行环境问题办公室、电力、

8、照明、湿气、温度控制、防火、防盗、电磁放射、阻碍等环境设施、大厦建筑结构及布线等，外部传输媒体、公共网络地区等存在的问题和缺陷。2.1.4 信息安全策略问题保护信息系统安全的法律条文、政策法规、管理制度及安全指导方针的不足、系统安全战略具有漏洞、数据信息安全政策漏洞及人员安全战略漏洞等方面。2.1.5 信息管理问题信息系统管理由于日常安全管理经验不足和应急预防措施ISO/IEC2701信息安全管理制度的标准存在管理漏洞、信息资产控制管理漏洞、机构安全管理漏洞、环境管理漏洞、人力安全管理漏洞等多种问题。通过漏洞可以知道信息系统的缺陷，虽然不会对信息系统造成任何损伤，但在这个系统中存在的缺陷或问题

9、可以被利用对企业造成伤害。如果没有漏洞就难以对信息系统产生威胁，因此在企业日常信息安全管理中，必须尽量避免产生漏洞。2.2 企业的信息安全风险企业的信息安全风险是由资源和规模限制带来的信息安全管理问题造成的。因为管理、资金、人才、技术方面的局限性，企业的安全问题一直很难有效地解决。严格规范安全管理制度是企业的信息安全管理的主要方式，但是严重的信息安全管理问题仍然无法避免2.2.1 物理安全风险物理安全风险通常是环境事故、供给故障、人工操作失误等物理原因导致的计算机网络瘫痪或业务系统中断。这是企业网络和信息系统中最常见的类型，虽然企业的数据可能会造成某种损伤，但企业的机密信息通常不会被截取，网络

10、系统也比较好恢复正常。2.2.2 网络安全风险网络风险一般是企业的网络长期没有有效的防范体制，因此很难防止外部网络的侵入和恶意攻击产生的安全风险。从外部网络进行病毒攻击会导致企业网络崩溃，对企业的业务造成难以弥补的损失。2.2.3 系统安全风险系统安全风险是企业计算机终端系统的安全设置未能达成，由于防护力不强，恶意代码和病毒能侵入系统和数据，导致安全风险很大。2.2.4 应用安全风险应用安全风险在企业信息数据的处理、操作中普遍存在。网络技术在持续进步的背景下，网络应用系统也处于不断改变的状态。这就要求企业根据时间定期使用数据、访问、修订等系统，尽量减少应用风险。2.2.5 管理安全的风险拥有成

11、熟安全管理制度是保障企业网络和信息安全的核心，但很多企业只注重公司的利益和发展，很少在意信息安全管理，导致非常有可能发生严重的网络信息安全事件。企业通常可以采取以下措施避免管理安全风险：设立网络安全管理制度相关负责人，并保证制度的顺利实施、提高相关工作人员的技术水平和安全意识，为了避免操作错误，加强公司的网络安全管理理念等。3 M公司信息安全管理现状3.1 M公司简介M公司主要经营技术开发、制造业务，涉及电话网络设施、声音、数据、视频、媒体通讯服务、电信服务业务等。目前该企业的工厂共有5个，企业的顾客达到80多万人，公司结构合理，拥有技术先进和功能强的通信网。由于M公司目前业务面宽，相关部门较

12、多，公司分为生产中心和销售中心，每个分公司的内部有自己的管理制度。人员方面包括企业所有者、企业人力资源部门、设计部门、生产部门、销售部门。随着信息技术发展，企业内部管理层面对信息安全的影响日益增大，顾客隐私信息安全受到威严，有关国家网络安全和共用工作领域的安全问题越来越严重。3.2 信息安全现状2017年上半年开始传播勒索病毒之后，病毒问题再次成为人们的热烈讨论问题之一，因为威胁病毒的影响，人们再次对网络安全进行了重视。通过统计，2016年下半年到2017年上半年，被恶意软件感染信息系统的用户数量呈现上升趋势，主要是全球范围的非法组织为了实现个人或其他政治经济的利益，推进了网络袭击。另一个原因

13、是家族病毒，因为家庭病毒的巨大变种数量也不断增加，网络病毒的残害无法避免。2017年下半年开始到2018年初，企业有两个服务器被病毒感染，瘫痪计算机20多台，损失文件难以计数。目前病毒的主要传播方式是网络驱动、USB等移动装置。破坏性最大的是Pety，覆盖或损坏计算机系统，感染的计算机可能完全瘫痪。传播途径从一开始就通过更新软件供应程序，感染所有软件的终端，在导致范围传播攻击时，首先在感染某软件时，利用钓鱼信息下载恶意程序，下载后感染的病毒软件，将MBR及部分磁盘扇区损坏后，系统将被替换，系统重启后，立刻运行多重代码的恶意代码，感染范围内的设备被感染。这种网络病毒对企业正常运行造成严重影响，大

14、多数企业产生难以预计的损失。Petya的攻击者可以轻松加入任意一个系统盗取软件代码。3.3 信息安全问题3.3.1 各部门安全管理职责不明信息安全的根本目的是保护公司生产运营的安全，管理范围是购买、生产、销售、库存、财务等企业的日常工作内容，单纯设立信息中心一个部门的力量不能实现公司信息安全目标。信息安全管理常常被认为与其他部门的关系不大。对于这种情况，从制度角度来看，在信息安全管理中没有明确职责，在实际执行中，各个部门的安全管理责任也没有说明。因此，对于这种情况，在信息安全管理方面需要更加明确权责。信息安全管理和控制是以主要信息为中心进行的，但由于信息安全管理无法直接向公司带来经济利益，公司

15、高层对此并不积极。公司各行政和业务部认为信息安全是信息中心管理的。但是信息管理中心得到的协助和支持力度不足，经常在信息安全管理业务中途被废除，导致信息安全问题很难解决。3.3.2 安全操作规范不健全近年来，信息化和工业化快速融合，大量业务通过信息系统完成，公司缺乏一些信息系统操作手册和一些安全操作规范，缺乏安全操作规范就无法指导员工的所有操作行为，例如哪些操作人员怎么做才安全，容易导致信息安全事件。比如，在内外网文件交换中，公司明确规定安全交换方式禁止同时使用移动内外存储设备混合，而一些员工为了方便内部网络数据交换，使用几台容易混淆的网络计算机，在网络上下载文件的同时传播了病毒，将公司内部网络

16、中的重要信息泄露在网上。因此日常系统运营中，信息系统设置等重大影响的操作没有制定明确的流程和操作规范，公司员工往往会由于错误操作而产生无法预测的结果。3.3.3 信息资产管理混乱在10多年的快速发展中，M公司实行了“技术差异化”的发展战略，特别是推进信息化和工业化融合，在智能制造的过程中，利用信息管理企业经营管理活动，实现企业内部外部信息的共享和有效利用。关键技术为主的核心信息形成了企业重要资产，如果这个核心资产泄露的话，会导致公司难以预测的损失，这些信息资产的安全管理是信息安全管理的重要核心。但是这个核心信息资产在储藏、使用、传播、交流过程中完全有可能在任何状态下因为没有安全控制措施导致产生

17、了问题。比如，包含核心专利信息的设计图在生成和传播过程中高度依赖于网络和各种信息处理终端，在设计、生产等部门间流传，如果没有明确的安全管理制度、没有泄漏处理措施，就会有特别意图的人窥探。3.3.4 信息安全应急事件应对不利随着企业的信息化水平越高，对信息系统的依赖越大，信息安全风险就越高，信息安全环境越来越恶劣，如今企业面临信息安全事件时不知道如何处理。而信息安全事件越来越频繁发生对应急处理能力提出了更高的要求。但是企业信息安全处理机构缺乏，应急措施不明确，工作人员对开发、生产、销售、急救的经验不足。在发生信息安全事件时，如果就只有信息中心技术员们慌慌张张地处理，其他部门的多数人员不关心，甚至

18、一些人都不知道该怎么做，或是其他人采取的紧急措施反而阻碍应急处理工作，导致紧急措施没有立刻进行。3.3.5 信息安全控制技术水平较低经过10多年的发展，M公司的人员越来越多，网络使用次数越来越多，虽然M公司也师徒利用一些技术手段保障信息安全，但通过信息安全风险评估发现网络管理、主机管理、应用管理中存在的安全风险也不少。同时信息安全技术产品在警告、保护、监督、急救应答方面没有形成相互补充，孤立了各个设备的申报信息，无法形成有效的信息安全技术保护屏障。4 M公司信息安全管理优化方案4.1 完善组织结构明确职责以信息安全组织构成、信息安全管理为目的强化组织领导、管理公司内部信息安全工作以确保公司业务

19、发展战略需求。对国内外的信息管理具体情况进行参考，互联网安全和信息化工作指导组和信息安全部立刻建立。对公司各有关部门信息安全管理职位的责任明确说明，对信息安全管理工作负责。建立互联网安全和信息化小组公司信息安全管理的负责人担任组长，要求各部门总经理参加虚拟安全和信息化指导小组、并设立互联网及信息安全管理的决策部门。网络安全和信息化领导小组宇公司信息安全管理小组全面负责公司信息安全工作。按照国家法律法规要求及公司信息安全总体战略，坚持设立的管理规范及技术标准进行管理，首先要确定公司安全部门的职责，指导信息安全相关部门进行管理工作，此外，还要负责推进网络安全工作、信息化总体设计，重要的事件及时协调

20、。信息安全部门构成信息安全部门在公司的安全管理行列中，不属于信息中心管理，在互联网安全和信息化工作指导小组的管理下亲自执行具体的安全业务。信息安全部门要建立信息安全管理制度，在公司内部开展信息安全管理制度，并明确落实到个人身上。要明确的内容有：所有必要的信息安全管理规定、制度及实施指南等；信息安全相关实施方法、程序、风险评价、资产分类方法等；自发地实施部门内部的信息安全措施，进行安全意识教育等；审查信息化建设项目规划及设计的安全部分，并监督施行；审查关于信息安全战略是否顺利；审查、监督、调整、信息安全相关事件的评价和反馈；领导机构讨论信息安全方面的决定；根据信息安全管理制度的要求，定期向上级主

21、管和信息安全指导组报告；明确各部门的职责；公司各部门经理负责本部门信息安全责任，制定信息保护措施，提供信息安全支援，监督部门内各活动信息管理制度是否符合要求。4.2 建立信息分类保护机制在信息化过程中形成了数量众多、种类丰富的信息资产。公司中信息资产具有不同的价值，所有信息资产都无法适用同样的安全保护措施，因此要根据信息资产的价值和重要性进行分类保护。如果要保护这些信息资产首先可以了解该信息资产信息，了解如何保护信息资产后进行分类保护。在信息分类的机制中只会显示企业所拥有的信息资产的价值和重要性，并显示相应的安全等级别，并只有有合法权限的人才能访问。通过综合分类，提高经济成本，还可以通过适当的

22、安全控制措施来保护信息资产。对企业来说，可以分为公开、敏感、重要、机密几个级别。4.3 建立信息安全事件应急响应机制信息安全应急反应机制包括防止各种信息安全事故发生的准备和信息安全事件等紧急事件发生后采取的措施，明确说明如何持续处理重要工作等。可以参考中央发表的国家网络安全事件急救方案的警报、急救处理、调查和评估几个阶段阶段作为“信息安全事件应急方案”的适用范围，为信息安全事件分级标准、急救组织工作原则、处理过程制定保障措施等，在实际的运用中还是要根据具体情况，明确具体的安全事件的处理方法。在信息安全事件中，应急应急应答总案及各项预案后，培养相关人员，每年至少要进行应急训练。通过模拟信息安全事

23、件，演员们掌握急救措施，提高应急处理能力的话，信息安全事态发生的话，会采取正确的措施。可以的。练习结束后及时总结，修改礼仪中不合理的地方。4.4 优化信息技术管理在信息安全管理事件发生后，要进行安全风险评估和反馈，然后指定为了降低安全风险所需的技术管理优化战略，以降低信息系统的整体风险，建议如下：物理安全要求需要进行信息系统操作的员工必须进行身份注册，在信息管理部门设置视频监督设备，对公司出入的人员进行全面监测。网络安全首先要在网络边界加强入侵检查。在网络边界部署侵犯检查设施，例如扫描端口，暴力入侵，木马后门、缓冲区溢出、拒绝服务、网络连击和IP攻击等网络攻击行为。如果发生攻击行为的话，立刻明

24、确入侵范围、攻击种类、目的，便于及时检测和修复等。其次是网络防火墙相关的内容。目前M公司防火墙的访问控制制度限制到网络阶段级别，无法更细致的存取控制策略，建议制定防火墙管理者登录范围。另外，还建议制定有关网络数据的安全防护战略。设定后，通过网络制动器严格控制内外数据交互。此外，严格控制系统之间的临近资源。在核心交换机中，根据服务器的其他功能划分虚拟网络（VLAN）并通过访问控制目录（ACL）严格控制VLAN之间的访问。最后，加强所有设备的自主管理。在远程管理网络和安全设备时，以加密方式远程限制各网络及安全设备的管理员注册地址。主机安全主机安全包括服务器的账户安全政策的强化。服务器运营系统和数据

25、库系统的管理员用户在基本账户中严格进行账户审议政策。提高口令复杂度，以及登录失败预警，这样就无法发生安全事件。启用服务器运营系统和数据库系统的基本管理者限制。从端口服务、文件访问权限等方面，加强服务器运营系统的安全操作系统，加强系统操作系统和数据库系统的安全监查功能，并对系统操作情况以及各种管理人员的操作行为进行审查记录。此外，所有服务器安装病毒查杀软件。一些服务器没有安装病毒软件，导致攻击者安装病毒软件的服务器无法检测出病毒。因此要在所有服务器上安装病毒查杀软件，及时更新病毒存储库。通过安装服务器补丁的方式，对服务器运营系统和数据库进行升级，保证所有运营体制和数据库系统的补丁是最新的状态。应

26、用安全应用系统的安全要求使用过程中做到4个必需：业务必须遵守安全规定；系统开发必须在组织提前进行安全审查；系统上线前必须完成修正和评价工作；安全程序开发应用系统的安全功能以及应用系统的信息复杂度检查、登录失败处理、安全审查及数据保密措施等功能必须完善。开展应用系统用户和权限管理工作。根据人员变动情况，按时登录账户进行管理工作，按照最低权限的工作人员和应用系统和数据访问权限，严格遵守规定的授权标准、禁止无资格的信息访问、数据查询及使用，对应用系统及时进行检查，修复、完善。4.5 定期开展风险评估信息安全管理是持续动态的过程，M公司不能只重视日常工作。随着信息技术不断进步，企业不断发展，企业面临的

27、信息安全风险不断变化，信息安全管理制度也需要持续改善。信息安全风险评估是信息安全管理制度建设的开始和基础。通过信息安全评估，可以发现企业信息安全管理工作存在的风险点，能够找到许多应对风险的方法。M公司每年开展一次信息安全评价，找出企业信息安全管理的主要风险，持续改善和优化信息安全管理制度，以适应不断变化的内外环境。5 结论本文主要使用企业信息安全管理制度理论进行分析，通过分析M公司实际的信息系统安全管理的实际状况，对现有信息安全管理现状进行分析，使用定性分析的方法，积极采用案例研究，确定适合作为代表的企业信息安全管理制度进行研究，并针对现存问题提出相应的解决措施。本文通过深入剖析以M公司为代表的型企业在信息安全方面的管理现状，探究企业在信息安全管理制度及技术层面存在的一些隐患和风险，把信息安全理论当作指导思想，结合近年发生的国内外信息安全管理问题，学习优秀企业的信息安全管理经验，结合最新出现的世界顶尖信息安全技术，针对性地提出信息安全提升解决方案，通过一系列的信息安全管理制度、战略、手段、系统的实施，解决以M公司为代表的企业目前存在的信息安全管理问题，为其他企业量身定制一套比较完善的信息安全管理